Risque
- Contournement de la politique de sécurité ;
- atteinte à la confidentialité des données.
Systèmes affectés
- Computer Associates eTrust Audit version r8 ;
- Computer Associates eTrust Audit version 1.
- Computer Associates eTrust Security Command Center version r8 ;
- Computer Associates eTrust Security Command Center version r8 SP1 CR1 ;
- Computer Associates eTrust Security Command Center version r8 SP1 CR2 ;
- Computer Associates eTrust Security Command Center version 1.0.
Résumé
Plusieurs vulnérabilités dans des composants de Computer Associates permettent à des agresseurs de contourner des règles de sécurité et d'accéder à des données sensibles.
Description
La première vulnérabilité provient d'une erreur dans le script ePPIServlet qui gère incorrectement des paramètres mal formés. Cette vulnérabilité permet à des agresseurs d'obtenir des informations relatives à l'arborescence du système cible (chemin vers le répertoire d'installation).
La seconde vulnérabilité provient d'une erreur dans le script eSMPAuditServlet qui valide incorrectement des paramètres. Cette vulnérabilité permet à des agresseurs de lire ou de détruirte des fichiers arbitraires.
La troisième vulnérabilité se trouve au niveau du système de gestion des alertes qui est accessible sans authentification préalable. Cette vulnérabilité permet à des agresseurs d'envoyer de fausses alertes.
Contournement provisoire
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité de CA :
http://supportconnectw.ca.com/public/etrust/eTrust_scc/downloads/eTrustscc_updates.asp
